在使用XMLSerializer()序列化之前从XML中删除无效字符

时间:2013-02-02 18:54:13

标签: javascript xml xmlserializer well-formed

我正在尝试将用户输入存储在客户端(javascript)的XML文档中,并将其传输到服务器以实现持久性。

例如,一个用户粘贴在包含STX字符(0x2)的文本中。 XMLSerializer没有转义STX字符,因此没有序列化为格式良好的XML。或者.attr()调用可能已经转义了STX字符,但无论如何,都产生了无效的XML。

我发现浏览器中的XMLSerializer()的输出并不总是格式良好,(甚至不满足浏览器自己的DOMParser()

此示例显示XMLSerializer()未正确编码STX字符:

> doc = $.parseXML('<?xml version="1.0" encoding="utf-8" ?>\n<elem></elem>');
    #document
> $(doc).find("elem").attr("someattr", String.fromCharCode(0x2));
    [ <elem someattr=​"">​</elem>​ ]
> serializedDoc = new XMLSerializer().serializeToString(doc);
    "<?xml version="1.0" encoding="utf-8"?><elem someattr=""/></elem>"
> $.parseXML(serializedDoc);
    Error: Invalid XML: <?xml version="1.0" encoding="utf-8"?><elem someattr=""/></elem>

我应该如何在浏览器中构建XML文档(使用由任意用户输入确定的参数),以便它始终是格式良好的(一切都正确转义)?我不需要支持IE8或IE7。

(是的,我确实在服务器端验证了XML,但是如果浏览器向服务器提交格式不正确的文档,那么服务器可以做的最好就是拒绝它,这对于可怜的用户)

2 个答案:

答案 0 :(得分:12)

这是一个函数 sanitizeStringForXML(),它既可以用于在赋值之前清理字符串,也可以用于衍生函数 removeInvalidCharacters(xmlNode),它可以传递给DOM树和将自动清理属性和textNodes,以便它们可以安全存储。

var stringWithSTX = "Bad" + String.fromCharCode(2) + "News";
var xmlNode = $("<myelem/>").attr("badattr", stringWithSTX);

var serializer = new XMLSerializer();
var invalidXML = serializer.serializeToString(xmlNode);

// Now cleanse it:
removeInvalidCharacters(xmlNode);
var validXML = serializer.serializeToString(xmlNode);

我基于non-restricted characters section of this wikipedia article的字符列表,但辅助平面需要5个十六进制数字的unicode字符,而Javascript正则表达式不包含此语法,所以现在,我我只是将它们剥离出来(你不会错过太多......):

// WARNING: too painful to include supplementary planes, these characters (0x10000 and higher) 
// will be stripped by this function. See what you are missing (heiroglyphics, emoji, etc) at:
// http://en.wikipedia.org/wiki/Plane_(Unicode)#Supplementary_Multilingual_Plane
var NOT_SAFE_IN_XML_1_0 = /[^\x09\x0A\x0D\x20-\xFF\x85\xA0-\uD7FF\uE000-\uFDCF\uFDE0-\uFFFD]/gm;
function sanitizeStringForXML(theString) {
    "use strict";
    return theString.replace(NOT_SAFE_IN_XML_1_0, '');
}

function removeInvalidCharacters(node) {
    "use strict";

    if (node.attributes) {
        for (var i = 0; i < node.attributes.length; i++) {
            var attribute = node.attributes[i];
            if (attribute.nodeValue) {
                attribute.nodeValue = sanitizeStringForXML(attribute.nodeValue);
            }
        }
    }
    if (node.childNodes) {
        for (var i = 0; i < node.childNodes.length; i++) {
            var childNode = node.childNodes[i];
            if (childNode.nodeType == 1 /* ELEMENT_NODE */) {
                removeInvalidCharacters(childNode);
            } else if (childNode.nodeType == 3 /* TEXT_NODE */) {
                if (childNode.nodeValue) {
                    childNode.nodeValue = sanitizeStringForXML(childNode.nodeValue);
                }
            }
        }
    }
}

请注意,这只会从属性和textNodes的nodeValues中删除无效字符。它不会检查标签名称或属性名称,注释等等。

答案 1 :(得分:0)

检查 https://gist.github.com/john-doherty/b9195065884cdbfd2017a4756e6409cc

非常有用的要点,示例用法:

const resultXml = removeXMLInvalidChars(INPUT_XML_STRING, true);